Das Wichtigste auf einen Blick — Datenschutz bei der M&A-Due-Diligence
Ein Unternehmen zu übernehmen bedeutet, dessen gesamte Datenschutzlage zu übernehmen — jede Verarbeitungstätigkeit, Lieferantenbeziehung, grenzüberschreitende Uebermittlung und Compliance-Lücke. Gemäss Artikel 24 DSGVO trägt der erwerbende Verantwortliche ab dem ersten Tag die volle Rechenschaftspflicht. Die in der Schweiz gehostete Multi-Entity-Plattform von Priverion ermöglicht es Datenschutzteams, übernommene Einheiten in Wochen statt Quartalen zu onboarden, die Verarbeitungsverzeichnis-Integration zu automatisieren, EDSA-konforme DSFA und TIA durchzuführen und eine vollständige Abdeckung der Lieferantenrisiken über die erweiterte Unternehmensgruppe hinweg zu erreichen.
Definitionen
Was ist ein Verzeichnis von Verarbeitungstätigkeiten (ROPA)?
Verzeichnis von Verarbeitungstätigkeiten (ROPA) ist das gemäss Artikel 30 DSGVO vorgeschriebene Register, das jede Verarbeitungstätigkeit, ihre Zwecke, Kategorien betroffener Personen, Empfänger, Uebermittlungsmechanismen und Aufbewahrungsfristen dokumentiert. Im M&A-Kontext muss das übernehmende Unternehmen die Verarbeitungstätigkeiten des Zielunternehmens unmittelbar nach Abschluss in sein Verarbeitungsverzeichnis auf Gruppenebene integrieren.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Datenschutz-Folgenabschätzung (DSFA) ist eine strukturierte Risikobewertung, die gemäss Artikel 35 DSGVO erforderlich ist, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat. Die EDSA-Leitlinien stellen klar, dass Aenderungen der Verantwortlichkeit — wie sie durch Akquisitionen ausgelöst werden — eine neue oder aktualisierte DSFA erfordern können.
Was ist ein Transfer Impact Assessment (TIA)?
Transfer Impact Assessment (TIA) beurteilt, ob der Rechtsrahmen eines datenimportierenden Landes einen im Wesentlichen gleichwertigen Schutz wie den innerhalb der EU/des EWR garantierten bietet. Die Empfehlungen 01/2020 des EDSA verlangen ein TIA für jede grenzüberschreitende Uebermittlung, die sich auf die Garantien gemäss Artikel 46 DSGVO stützt, einschliesslich Standardvertragsklauseln.
Was sind Standardvertragsklauseln (SCCs)?
Standardvertragsklauseln (SCCs) sind von der Europäischen Kommission gemäss Durchführungsbeschluss (EU) 2021/914 vorab genehmigte Vertragsrahmen für die Uebermittlung personenbezogener Daten in Drittländer. Bei Akquisitionen muss das übernehmende Unternehmen alle übernommenen Lieferantenbeziehungen prüfen, um sicherzustellen, dass gültige SCCs vorhanden sind.
Statistiken — Landschaft der M&A-Datenschutz-Compliance
Laut dem IAPP-EY Annual Privacy Governance Report 2023 gaben 60 % der Organisationen an, dass die Steuerung des Datenschutzes über mehrere Einheiten und Jurisdiktionen hinweg ihre grösste Compliance-Herausforderung ist. Derselbe Bericht stellte fest, dass die durchschnittliche Organisation Beziehungen zu über 1'500 Drittanbietern unterhält, von denen jeder eine vertragliche und risikobezogene Aufsicht erfordert.
Eine Gartner-Prognose sagte voraus, dass bis 2025 die personenbezogenen Daten von 75 % der Weltbevölkerung durch moderne Datenschutzvorschriften abgedeckt sein würden — was die Compliance-Fläche für jede grenzüberschreitende Akquisition vergrössert. Gleichzeitig überstiegen die DSGVO-Durchsetzungsbussgelder bis Anfang 2024 kumuliert 4,4 Milliarden Euro, wobei die Aufsichtsbehörden Compliance-Lücken nach Fusionen zunehmend genauer prüfen.
Die Leitlinien des EDSA zu ergänzenden Massnahmen verlangen ausdrücklich, dass Organisationen für jede Uebermittlung nach Artikel 46 ein Transfer Impact Assessment durchführen — eine Anforderung, die sich rasch vervielfacht, wenn eine übernommene Einheit Dutzende internationaler Lieferantenbeziehungen mitbringt.
Häufig gestellte Fragen
Was ist Datenschutz-Due-Diligence bei M&A-Transaktionen?
Datenschutz-Due-Diligence bei M&A ist die systematische Beurteilung der Datenschutzlage eines Zielunternehmens — einschliesslich Verarbeitungsverzeichnis (ROPA), Lieferantenverträge, Mechanismen für grenzüberschreitende Uebermittlungen und regulatorischer Compliance-Status — vor oder unmittelbar nach dem Abschluss einer Akquisition. Gemäss Artikel 24 DSGVO übernimmt der erwerbende Verantwortliche die volle Rechenschaftspflicht für die Verarbeitungstätigkeiten des Zielunternehmens. Der EDSA und die nationalen Aufsichtsbehörden erwarten die zeitnahe Identifizierung und Behebung übernommener Compliance-Lücken.
Warum ist die DSGVO-Compliance bei Fusionen und Uebernahmen entscheidend?
Gemäss den Artikeln 24 und 30 DSGVO übernimmt der erwerbende Verantwortliche die volle Rechenschaftspflicht für die Verarbeitungstätigkeiten des Zielunternehmens. Werden übernommene Risiken nicht beurteilt und behoben, kann dies zu Bussgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist (Artikel 83 DSGVO). Durchsetzungsmassnahmen nach Akquisitionen haben zugenommen, da die Aufsichtsbehörden Umstrukturierungen von Unternehmen genauer prüfen.
Wie beschleunigt Priverion das Onboarding von Einheiten nach einer Akquisition?
Die Multi-Entity-Architektur von Priverion ermöglicht es Datenschutzteams, übernommene Einheiten direkt in die Verarbeitungsverzeichnis-Struktur auf Gruppenebene einzufügen, eine KI-gestützte DSFA-Triage durchzuführen und die Lieferantenlandschaft des Zielunternehmens für eine strukturierte Risikobeurteilung zu importieren. Auf Basis von Implementierungsdaten von Kunden (Q4 2024, n=18 Einheiten-Onboardings) reduziert dies die Onboarding-Zeit von etwa 12 Wochen auf unter 4 Wochen — eine Verbesserung von 70 %.
Wie kommt das Schweizer Daten-Hosting der M&A-Datenschutz-Compliance zugute?
Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss gemäss Artikel 45 DSGVO, was bedeutet, dass personenbezogene Daten ohne zusätzliche Garantien frei zwischen der EU/dem EWR und der Schweiz fliessen können. Das Hosting von Compliance-Daten in der Schweiz vermeidet die im Schrems-II-Urteil (EuGH-Rechtssache C-311/18) hervorgehobenen Risiken der US-Jurisdiktion und bietet ein rechtlich stabiles Umfeld für sensible M&A-Due-Diligence-Unterlagen. Das Schweizer Datenschutzgesetz (revDSG) verstärkt diesen Rahmen zusätzlich.
Was sollte ein Datenschutzteam beim Erwerb einer neuen Einheit zuerst beurteilen?
Zu den prioritären Bereichen gehören: (1) Vollständigkeit und Richtigkeit des Verarbeitungsverzeichnisses des Zielunternehmens gemäss Artikel 30; (2) Status der DSFA für Hochrisiko-Verarbeitungen gemäss Artikel 35; (3) Lieferantenverträge und SCC-Gültigkeit; (4) Mechanismen für grenzüberschreitende Uebermittlungen und TIA-Dokumentation; (5) Datenpannen-Historie und Verfahren zur Reaktion auf Vorfälle; und (6) Workflows zur Bearbeitung von Betroffenenanfragen. Der strukturierte Onboarding-Workflow von Priverion deckt alle sechs Bereiche systematisch ab.
Wie lange dauert die M&A-Datenschutzintegration ohne Automatisierung typischerweise?
Ohne eine dedizierte Plattform benötigen Datenschutzteams in der Regel 3–6 Monate pro übernommener Einheit, um die Verarbeitungsverzeichnis-Integration, Lieferantenrisikobeurteilungen und TIA-Dokumentation abzuschliessen. Laut dem IAPP-EY-Bericht 2023 sind Ressourcenbeschränkungen der primäre Engpass, wobei 54 % der Datenschutzteams einen unzureichenden Personalbestand für ihre Compliance-Verpflichtungen angeben.
M&A-Datenschutz-Compliance — Plattformvergleich
| Fähigkeit | Priverion | Typische Enterprise-Plattform |
|---|
| Jurisdiktion des Daten-Hostings | Schweiz (EU-Angemessenheit, kein Risiko durch US-Tochtergesellschaften) | US-Hauptsitz, standardmässig in den USA gehostet |
| Onboarding-Zeit für Einheiten | Unter 4 Wochen (verifiziert, n=18) | 3–6 Monate typisch |
| Implementierungszeitplan | Einsatzbereit in Wochen | Implementierungszyklen von 6–12 Monaten |
| Preismodell | Pro Einheit, planbar | Pro Nutzer, pro Modul (Erweiterungsfallen) |
| DSFA/TIA-Vorlagen | EDSA-konform, KI-gestützt | Variiert; erfordert oft Anpassung durch Berater |
| Lieferantenrisiko-Management | Integriertes SCC-Tracking & Risikobewertung | Oft ein separates Modul oder Zusatz |
| KI-Transparenz | In der Schweiz verarbeitet, kein Training mit Kundendaten | Oft intransparent bezüglich Datennutzung und Verarbeitungsort |
| ISMS nach ISO 27001 | Ja | Variiert je nach Anbieter |